Настройка распределенного управления ключами в VMM
Применимо к: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager
Во время установки сервера управления Virtual Machine Manager (VMM) необходимо решить, будут ли ключи к зашифрованным данным храниться на локальном компьютере или следует настроить распределенное управление ключами. На странице Настройка учетной записи службы и распределенного управления ключами программы установки можно включить использование распределенного управления ключами для хранения ключей шифрования в доменных службах Active Directory вместо их хранения на компьютере, где установлен сервер управления VMM.
По умолчанию VMM шифрует некоторые данные в базе данных VMM с помощью API защиты данных (DPAPI). Например, VMM шифрует учетные данные запуска от имени и пароли в профилях гостевой операционной системы. VMM также шифрует сведения о ключе продукта в свойствах виртуального жесткого диска для сценариев и конфигурации ролей виртуальной машины. Шифрование этих данных привязано к конкретному компьютеру, где установлена среда VMM, и учетной записи службы, используемой VMM. Таким образом, при перемещении установки VMM на другой компьютер VMM не сохраняет зашифрованные данные. В этом случае необходимо вручную ввести данные, чтобы исправить объекты VMM.
Напротив, распределенное управление ключами позволяет сохранить ключи шифрования в доменных службах Active Directory. Поэтому в случае переноса установки VMM на другой компьютер VMM сохранит зашифрованные данные, так как другой компьютер будет иметь доступ к ключам шифрования в доменных службах Active Directory.
Важно |
---|
Для ролей виртуальной машины: если зашифрованные данные не сохраняются, вы не сможете ввести их вручную и, следовательно, не сможете управлять ролями. |
Если вы решили включить распределенное управление ключами, посоветуйтесь с администратором AD DS по поводу создания подходящего контейнера в AD DS для хранения ключей шифрования.
Ниже перечислены требования и рекомендации по использованию распределенного управления ключами в VMM.
Перед установкой VMM необходимо создать контейнер в доменных службах Active Directory. Контейнер можно создать с помощью редактора интерфейсов службы Active Directory (Редактор ADSI). Чтобы установить Редактор ADSI, в Диспетчере сервера добавьте компонент Средства AD DS в раздел Средства удаленного администрирования сервера. После установки Редактор ADSI появится в меню Сервис в Диспетчере сервера.
Контейнер создается в том же домене, куда входит учетная запись, под которой проходила установка VMM. Кроме того, если указывается учетная запись домена, которую будет использовать служба VMM, эта учетная запись должна входить в состав того же домена.
Например, если учетная запись, использованная для установки, и учетная запись службы находятся в домене corp.contoso.com, контейнер следует создать в том же домене. Таким образом, если требуется создать контейнер с именем VMMDKM, расположение контейнера задается в формате
CN=VMMDKM,DC=corp,DC=contoso,DC=com
.Когда администратор Active Directory создаст контейнер, учетной записи, используемой для установки VMM, нужно предоставить разрешения полного доступа к контейнеру в AD DS. Кроме того, разрешения должны распространяться на этот объект и все дочерние объекты контейнера.
В случае установки сервера управления VMM высокой доступности требуется использовать распределенное управление ключами для хранения ключей шифрования в AD DS.
Распределенное управление ключами в этом случае необходимо, так как при переходе службы Virtual Machine Manager на другой узел кластера при отработке отказа ей по-прежнему нужны будут ключи для доступа к данным в базе данных VMM. Доступ возможен, только если ключи шифрования хранятся централизованно, например в доменных службах Active Directory.
Для будущих обновлений, затрагивающих роли виртуальных машин, в ходе установки рекомендуется использовать распределенное управление ключами. Это обеспечит надлежащее обновление ролей виртуальных машин и даст возможность управлять ими после обновления.
На странице Настройка учетной записи службы и распределенного управления ключами укажите расположение контейнера в доменных службах Active Directory. Пример:
CN=VMMDKM,DC=corp,DC=contoso,DC=com
.